1
vigossliao 211 天前
|
2
jsq2627 211 天前 1
现在浏览器有原生 HTML Sanitizer 了
https://developer.mozilla.org/en-US/docs/Web/API/HTML_Sanitizer_API |
3
agagega 211 天前
如果只需要展示纯文本的话,用 innerText 不就行了?
|
4
hgc81538 211 天前 via iPhone
應該轉碼&<>"'去&<>"'就穩了
|
5
ysc3839 211 天前 via Android
可能不止这几个字符,建议直接使用现成的 html 转义库
|
7
xiangyuecn 211 天前
onclick='alert(1)'
|
8
xiangyuecn 211 天前
不用白名单,直接全部 ASCII 字符除了换行字母数字全部用 { 转义完事
|